<p><span>O Regulamento Geral de Protecção de Dados (RGPD) é o novo regulamento da União Europeia (UE) para a protecção de dados pessoais. Entra em vigor de forma efectiva a 25 de Maio. E as sanções por incumprimento são elevadas.</span></p>
<p><span>É uma adaptação que responde a uma realidade em que é possível juntar todos os dados recolhidos em bens e serviços, retirar informação para construir perfis e definir comportamentos, mesmo sem o consentimento expresso do titular dos dados para partilha de informação. Assim, o novo regulamento solidifica a posição individual do titular, deixando de permitir o armazenamento de dados sem prazos limite. E vai exigir adaptações por parte das empresas. </span></p>
<p><span>O RPGD aplica-se a todos os estados-membros da União Europeia (EU), ou seja, todos os estabelecimentos e responsáveis que tratem dados pessoais, no contexto de actividades ou oferta de produtos e serviços. Isto inclui empresas que lidem com cidadãos residentes na UE, mesmo que não sejam empresas europeias. </span></p>
<p><span> </span></p>
<p><span>As empresas terão de fazer várias adaptações: </span></p>
<p><span>- Ter um responsável pelo tratamento de dados (o “controller”) e subcontratantes (os “processors”)</span><span> para uniformizar a maneira como a empresa trata os dados dos utilizadores e colaboradores. O processor trata dos dados pessoais e o controller determina como e com que fim. Esta relação tem de ser contratualizada.</span></p>
<p><span>- Criar procedimentos de protecção de dados, em todas as etapas em que lidem com os mesmos. Como exemplos de medidas podem considerar a pseudonomização (tratamento de dados pessoais de forma a que estes não possam ser atribuídos aos utilizadores correspondentes, assegurando o anonimato), a minimização, a formação e formalização de políticas. </span></p>
<p><span>- As actividades devem ser registadas, com o contacto do responsável pelo tratamento dos dados, as finalidades para a empresa possuir esses mesmos dados, a descrição dos titulares, categorias, destinatários e períodos de retenção e todas as saídas de dados para fora da UE. </span></p>
<p><span>- Ter a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência dos sistemas de tratamento, ou seja, a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais atempadamente, em caso de incidente físico ou técnico. </span></p>
<p><span>- Efectuar uma avaliação de impacto sempre que for realizado um tratamento de risco</span><span> elevado para os titulares. A avalição é obrigatória, em casos de tratamento automatizado ou sistemático dos dados pessoais ou com vista a definição de perfis.</span></p>
<p><span> </span></p>
<blockquote>Q&amp;A</blockquote>
<p> </p>
<blockquote>Quais as responsabilidades perante os titulares?</blockquote>
<p><span>Garantir que são informados de forma concisa e transparente, com linguagem clara. Dar o direito ao titular de aceder, rectificar, transferir ou apagar e limitar o acesso aos dados.</span></p>

<blockquote>Qual é o procedimento, em caso de falha de segurança? </blockquote>
<p><span>Quando houver uma violação do sistema, o responsável pelo tratamento de dados pessoais terá de notificar a autoridade competente até 72 horas depois da falha de segurança. Esta notificação, além dos contactos do encarregado pela protecção de dados, tem de descrever a natureza da violação, o número aproximado de titulares e de dados pessoais em causa. Tem de explicar também as consequências e medidas adoptadas contra o efeito negativo. </span></p>
<p><span> </span></p>
<blockquote>Qual é a autoridade que toma conta desta matéria? </blockquote>
<p><span>A entidade nacional responsável pelo cumprimento do RGPD em Portugal é a Comissão Nacional de Protecção de Dados (CNPD). O responsável pelo tratamento e subcontratante devem estar preparados para cooperar com este orgão. </span></p>
<p><span> </span></p>
<blockquote>A minha empresa é pequena. Também tenho de fazer a adaptação? </blockquote>
<p><span>As entidades com menos de 250 trabalhadores são obrigadas a registo apenas se tiver implicado o risco para os direitos e liberdades do titular dos dados, se o tratamento for regular ou implicar dados pessoais sensíveis.</span></p>
<p><span> </span></p>
<blockquote>O que é o DPO?</blockquote>
<p><span>A sigla refere-se ao Data Protection Officer, o profissional que o responsável e o subcontratante terão de nomear sempre que o tratamento dos dados for efectuado por uma autoridade ou organismo público (excepto tribunais), ou quando seja exigido um controlo regular e sistemático dos titulares em grande escala, dados sensíveis, ou relacionados com condenações penais e infracções. </span></p>
<p><span>O DPO informa e aconselha, controla a conformidade e a repartição de responsabilidades, e participa na sensibilização e formação do pessoal.</span></p>
<p><span> </span></p>
<blockquote>Quais as punições para o não cumprimento? </blockquote>
<p><span>As sanções podem chegar aos 20 milhões de euros, ou até 4% do volume de negócios anual da empresa, consoante o que for mais elevado. </span></p>
<p><span>Quando o incumprimento referir dados pessoais de menores, tal pode implicar o pagamento de até 2% do volume de negócio. A Comissão Nacional de Protecção de Dados vai ter em conta, ao aplicar a coima, a gravidade, duração, número de titulares afectados e danos sofridos. </span></p>
<p><span> </span></p>
<blockquote>Prepare-se: </blockquote>
<p><span>1 – Realize uma auditoria para saber como trata os dados dentro da empresa. </span></p>
<p><span>2 – Estabeleça políticas internas para qualquer falha que encontre. </span></p>
<p><span>3 – Reveja formulários e acordos de privacidade, até em termos de linguagem. </span></p>
<p><span>4 – Prepare mecanismos para responder a pedidos de uso de direitos, como o Direito ao Esquecimento ou à Portabilidade. </span></p>
<p><span>5 – Nomeie o seu responsável e subcontratantes. </span></p>
<p><span>6 – Se a sua empresa tiver menos de 250 colaboradores, veja se trabalha com alguma das excepções previstas. </span></p>
<p><span>7 – Reveja as bases de consentimento que dá aos utilizadores dos serviços que vende. Podem precisar de adaptação, ou até mesmo de um novo pedido. </span></p>
<p><span>8 – Reveja os contratos e subcontratações nos serviços de tratamento de dados. </span></p>
<p><span>9 – Verifique se transfere dados para fora da União Europeia e, se sim, analise a legitimidade da transferência. </span></p>